Uber untersucht eine Sicherheitslücke in seinen Computersystemen

Das Computernetzwerk von Uber wurde am Donnerstag gehackt, was das Unternehmen dazu veranlasste, mehrere seiner internen Kommunikations- und Engineering-Systeme offline zu nehmen, während es das Ausmaß der Verletzung untersucht.

Der Hack scheint mehrere interne Systeme von Uber beschädigt zu haben, und jemand, der die Verantwortung für den Hack übernimmt, schickte Bilder von E-Mails, Cloud-Speicher und Code-Repositories an Cybersicherheitsforscher und die New York Times.

„Sie haben vollen Zugriff auf Uber“, sagte Sam Curry, ein Sicherheitsingenieur bei Yuga Labs, der mit der Person sprach, die die Verantwortung für den Verstoß übernahm. „So wie es aussieht, ist das ein kompletter Kompromiss.“

Ein Uber-Sprecher sagte, das Unternehmen untersuche den Verstoß und kontaktiere die Strafverfolgungsbehörden.

Zwei Mitarbeiter, die nicht berechtigt waren, öffentlich zu sprechen, sagten, Uber-Mitarbeiter seien angewiesen worden, den internen Nachrichtendienst des Unternehmens, Slack, nicht zu nutzen, und stellten fest, dass andere interne Systeme nicht zugänglich seien.

Kurz bevor Slack am Donnerstagnachmittag heruntergefahren wurde, erhielten Uber-Mitarbeiter eine Nachricht mit der Aufschrift: „Ich gebe bekannt, dass ich ein Hacker bin und dass Uber eine Datenpanne hatte.“ Die Nachricht listete weiterhin mehrere interne Datenbanken auf, von denen der Hacker behauptete, dass sie kompromittiert worden seien.

Ein Uber-Sprecher sagte, der Hacker habe sich in ein Slack-Arbeiterkonto gehackt und es zum Senden der Nachricht verwendet. Offenbar verschaffte sich der Hacker später Zugriff auf andere interne Systeme, indem er ein skandalöses Foto auf der internen Informationsseite eines Mitarbeiters veröffentlichte.

Die Person, die die Verantwortung für den Hack übernahm, sagte der New York Times, dass er eine SMS an einen Uber-Mitarbeiter geschickt habe, in der er behauptete, ein IT-Mitarbeiter des Unternehmens zu sein. Der Arbeiter wurde überredet, ein Passwort zu übergeben, das es dem Hacker ermöglichen würde, Zugang zu den Systemen von Uber zu erhalten, eine Technik, die als Social Engineering bekannt ist.

„Diese Arten von Social-Engineering-Angriffen gewinnen zunehmend in Technologieunternehmen Fuß“, sagte Rachel Tobak, CEO von SocialProof Security. Frau Tupac verwies auf den Twitter-Hack von 2020, in dem Jugendliche nutzten Social Engineering in die Firma einzudringen. ähnlich Social-Engineering-Techniken Es wurde in den letzten Verstößen bei Microsoft und Okta verwendet.

„Wir sehen, dass die Angreifer klüger werden und auch dokumentieren, was funktioniert“, sagte Frau Tupac. „Sie haben jetzt Gruppen, die es einfach machen, diese Social-Engineering-Taktiken zu verbreiten und anzuwenden. Es ist fast zur Ware geworden.“

Der Hacker, der Screenshots der internen Systeme von Uber zur Verfügung stellte, um seinen Zugriff zu beweisen, sagte, er sei 18 Jahre alt und habe sich in die Systeme von Uber gehackt, weil die Sicherheit des Unternehmens schlecht war.

Carey sagte, die Person habe offenbar Zugriff auf Ubers Quellcode, E-Mail und andere interne Systeme. „Sieht so aus, als wäre es dieser Junge, der bei Uber eingestiegen ist und nicht weiß, was er damit anfangen soll, und der viel Zeit in seinem Leben hat“, sagte er.

Dies ist nicht das erste Mal, dass ein Hacker Daten von Uber gestohlen hat. Im Jahr 2016 stahlen Hacker Informationen von 57 Millionen Fahrer- und Fahrgastkonten, kontaktierten dann Uber und 100.000-Dollar-Schüler ihre Kopie der Daten zu löschen. Uber arrangierte die Zahlung, hielt den Verstoß jedoch mehr als ein Jahr lang geheim.

Joe Sullivan, der damals Chief Security Officer von Uber war, wurde wegen seiner Rolle bei der Reaktion des Unternehmens auf den Hack entlassen. Herr Sullivan wurde wegen Behinderung der Justiz angeklagt, weil er den Verstoß den Aufsichtsbehörden nicht offengelegt hatte, und steht nun vor Gericht.

Mr. Sullivans Anwälte Sie argumentierten, dass andere Mitarbeiter für die behördlichen Offenlegungen verantwortlich seien, und sagten, das Unternehmen habe Herrn Sullivan zum Sündenbock gemacht.